Nog maar enkele dagen tot 25 mei 2018 om te zorgen dat uw onderneming of uw organisatie voldoet aan de nieuwe Europese privacyregelgeving (Algemene Verordening Gegevensbescherming / AVG). Als u nu nog moet beginnen dan is het belangrijk dat u weet wat uw vier belangrijkste prioriteiten zijn.
In deze blog helpt privacy-specialist Hella Vercammen van The Legal Privacy Company u daar graag mee op weg. Eerst maar even vijf misverstanden over deze Europese wet uit de weg ruimen.
Misverstand #1
“Even een paar standaard documentjes downloaden van internet, knippen en plakken en dan voldoen we aan de wet.”
Onthoud dat de implementatie van de AVG geen eenmalige exercitie is. De privacy huishouding binnen uw bedrijf of organisatie dient op orde te blijven net zoals uw financiële boekhouding. U heeft een wettelijke documentatieplicht om aan te tonen dat dat zo is. Regel dus een inzichtelijk online privacy managementsysteem (www.theprivacyportal.com) dat er blijvend op toeziet dat de bescherming van persoonsgegevens pro-actief wordt gemanaged.
Misverstand #2
“Ach, dat gedoe rondom de privacy, dat is gewoon een hype van voorbijgaande aard. Straks kraait er geen haan meer na.”
Privacyrechten van voorbijgaande aard? Privacy rechten zullen in deze maatschappij een steeds grotere rol gaan spelen. De exponentiële groei van het verwerken, het delen, het doorgeven, het raadplegen en het verzamelen van persoonsgegevens op grote schaal is namelijk nog lang niet in zicht. We digitaliseren en automatiseren steeds verder en voegen daar ook nog nieuwe technologische dimensies aan toe die ook weer nieuwe privacy vraagtekens opwerpen. Neem het toenemend gebruik van gedragsvoorspellende technologie met behulp van kunstmatige intelligentie. Neem de opkomst van Blockchain, Bitcoins en andere toepassingen van K.I. De daarvoor verantwoordelijke organisaties en bedrijven zullen daarom in toenemende mate de privacy rechten van hun klanten, werknemers, toeleveranciers, onderaannemers, samenwerkingspartners etc. moeten managen. De kans dat u met deze organisaties in uw bedrijfsketen te maken krijgt is groot.
Misverstand #3.
“De kans dat iemand gaat zeuren over privacy bij mijn organisatie is klein en bovendien mensen delen alles zelf op social media.”
Dat mensen alles delen op social media is hun goed recht. Zij mogen vrijelijk beschikken over hun persoonsgegevens maar dat betekent nog niet dat een ander daar misbruik van mag maken. Dit soort activiteiten vallen bovendien niet onder de reikwijdte van de AVG omdat het om huishoudelijke activiteit gaat. Privacy gaat nu juist over gegevens die de mensen niet willen delen maar geheim willen houden. Niemand zet zijn pincode of de stand van zijn bankrekening of spaarrekening op facebook.
Bedenk ook dat niet alleen gaat om de privacy van anderen maar ook om uw eigen recht op bescherming van uw persoonlijke levenssfeer, om geheimhouding van uw persoonlijke informatie, om communicatie. Het betreft ook uw fundamenteel grondrecht, een mensenrecht dat na de tweede wereldoorlog is vastgelegd in internationale (mensenrechten) verdragen en uiteindelijk nu in een rechtstreeks werkende Europese wet.
Misverstand #4
“Als de IT security op orde is in mijn organisatie, is 80% van de AVG al geregeld.”
De naleving van de AVG is niet voornamelijk een kwestie van technische veiligheidsmaatregelen om te zorgen dat de persoonsgegevens gehackt worden. Die maatregelen vormen slechts 20% van de maatregelen die u moet nemen om de AVG na te leven. Datalekken komen met name voor omdat mensen fouten maken. Het gaat dus ook om awareness trainingen. Ook heeft de andere 80% er betrekking op dat u checkt en blijft checken dat u alleen persoonsgegevens verwerkt waarvoor u een wettelijke grondslag heeft. Dat u niet te veel persoonsgegevens uitvraagt, dat u ze ook op een correcte wijze verwerkt zodra u een grondslag heeft. Ook moet u organiseren in uw bedrijf dat de uitoefening van de privacyrechten van uw klanten, werknemers en andere natuurlijke personen niet belemmert maar juist faciliteert. Zodra zij recht op inzage van de door u verwerkte persoonsgegevens vragen, dient u hen zo snel mogelijk doch uiterlijk binnen 1 maand te berichten.
Misverstand #5.
“Mijn huisadvocaat regelt dit wel even voor mij, die kent mijn hele organisatie van haver tot gort”.
Het privacyrecht is helaas een zeer complex en gespecialiseerd rechtsgebied waarbij diepgaande juridische kennis en praktijkervaring nodig is om de implementatie van de AVG correct te kunnen adviseren. U kunt zich geen omissies en fouten veroorloven. Daarvoor zijn de zakelijke afbreukrisico’s en de boetes te groot.
Check dus goed of uw advocaat praktijkervaring heeft, vraag referenties op. Vraag ook naar de opleiding die deze heeft genoten op dit gebied. Let erop dat de privacy jurist een Europees gecertificeerde privacy expert is. Indien de privacy jurist de CIPP/E titel gebruikt dan is dat een aanduiding dat de privacy jurist de gehele AVG zeer goed heeft bestudeerd, daar les over heeft gehad en geëxamineerd is door de IAPP, ‘werelds grootste en meest gerenommeerde beroepsorganisatie voor privacy experts.
En dan nu zoals beloofd hierbij de 5 AVG prioriteiten voor als u nog moet beginnen.
- Data-inventarisatie: In deze fase wordt gekeken welke persoonsdata in- door en uit uw organisatie stroomt en wat u precies doet aan verwerkingen van deze persoonsdata. Er wordt vastgelegd wat de huidige stand van zaken is rondom de verwerkingen in uw organisatie en door wie wat wordt gedaan. Laat dit altijd door een externe partij doen omdat men door bedrijfsblindheid al snel bepaalde zaken over het hoofd kan zien.
- Grondslagen en rechtmatigheidsonderzoek. In deze fase wordt in kaart gebracht of uw organisatie wel de persoonsgegevens in kwestie mág verwerken. En zo ja, wat uw organisatie nog aan maatregelen moet nemen om dit correct en veilig te doen conform de AVG regels en normen.
- Uitvoeren van de AVG maatregelen en verbetertaken. In deze fase gaat u de geadviseerde en geformuleerde maatregelen doorvoeren in uw fysieke en digitale werkprocessen en in uw personele organisatie. Zodanig dat u toewerkt naar 100% compliance aan de AVG.
- AVG Beheerfase. In deze laatste fase zult u voortdurend moeten monitoren of de maatregelen die u heeft genomen ook daadwerkelijk worden uitgevoerd én nog steeds up to date en toereikend zijn. Maatregelen kunnen dat namelijk niet meer zijn op het moment dat u andere verwerkingen gaat doen of wanneer u gaat werken met nieuwe technologieën of met andere verwerkers. U zal dan nieuwe maatregelen moeten nemen. Ook beschikt u een overzichtelijk management en registratie tooling waardoor het privacy beheer inzichtelijk is bij een controle door de AP. Ook tooling waarmee u de continuïteit van uw privacy beheer kunt garanderen en dit dus niet afhankelijk is een of meer personen die bij u in dienst zijn maar weg kunnen gaan.
Via een AVG audit van TLPC en een abonnement op The Privacy portal inclusief de daarbij geleverde account privacyjurist regelt u in één klap alle bovenstaande stappen.
